ověřování uživatelů přes active directory

Založil Franci, 01. 08. 2013, 08:52:55

Předchozí téma - Další téma

Franci

dobré odpoledne všem

popis problemu:
mam windows server s active directory a uživatele kteří používají windows nicméně každý uživatel má dualboot s fedorou 17 a počítače často střídají.
ve widlich funguje síťový disk a cestovní profil
chci využít aspoň část služeb poskytovaných win serverem nebo najít přinejmenším nejméně bolestnou alternativu
ideální varianta je jedno centralizované místo pro správu co největšího rozsahu uživatelů kteří mají právo se přihlásit.

moje řešení:
http://www.techrepublic.com/blog/windows-and-office/how-do-i-join-a-linux-machine-to-a-windows-domain/
http://community.spiceworks.com/how_to/show/2157-how-to-add-fedora-linux-to-windows-active-directory-domain-in-7-easy-steps
http://manyrootsofallevilrants.blogspot.cz/2012/11/join-centos-6x-server-to-windows-2012.html
http://docs.fedoraproject.org/en-US/Fedora/17/html/System_Administrators_Guide/ch-Configuring_Authentication.html
http://technet.microsoft.com/cs-cz/magazine/2008.12.linux(en-us).aspx

# wget http://download.beyondtrust.com/PBISO/7.5.0.1513/linux.rpm.x64/pbis-open-7.5.0.1513.linux.x86_64.rpm.sh
# chmod u+x  pbis-open-7.5.0.1513.linux.x86_64.rpm.sh
# ./pbis-open-7.5.0.1513.linux.x86_64.rpm.sh
# reboot / shutdown -h now
zařazení do domény
# domainjoin-cli join myserver.company.cz root
heslo
SUCCES
==============================>
sice to zařve že mu chybí konfigurace pam_permit.so ale i přes warovani se k domeně připojí jinou alternativu pro připojení k domeně je konfigurace ale baliček který by to sfouknul za mě je jenom ten který popisuji.

dale tedy ssh domain\user@stroj.company.cz funguje vytvoří si adresářovou strukturu v home a již lze přihlašovat ke stroji
kamen urazu nastava s přihlašením z desktopu gnome3 a fedora17 3.9.8-100.fc17.x86_64 kde je seznam jmen dlouhý jako rulička od toaletního papíru je nepřehledný a špatně se přes něj přihlašuje

zkoušel jsem stahnout kdm xdm slim system-switch-displaymanager ti jsou fajn ale pouze pro uživatele kteří počítač již použili a maji na localu vytvořený účet buď uspěšným přihlašením do domeny nebo v passwd

pro nově příchozí to funguje tak že musí klepnout nejsem na seznamu a přihlasit se domena\login a domenovéHeslo přičemž obohatí naš seznam.
v gdm jsem se pokoušel najít nějaký návod na to jak uživatele skrýt ale bez uspěchu (/etc/gdm/custom.conf nebo /usr/share/.... ) neschopnost manageru fungovat s domenou to shazuje na přihlašovací obrazovku gnome kterou se mi nedaří konfigurovat

příkaz #gconftool-2 --type bool --set /apps/gdm/simple-greeter-disable_user_list 'true'
je taky bezúspěšný a někde jsem se dočetl že v seznamu se nezobrazují jmena kteří mají UID pod 1000 což je pro moje učely docela málo.

příkaz #gdm3setup je už dlouho mrtvým

příkaz #gnome-session jsem už taky z nějakého duvodu vyloučil...

napadlo mě ověřování ldap serverem čimž dubluji uživatele stroj pro lin a stroj pro win :-(

další možností je system-config-autheti* ale jak to nastavit?


ma někdo nějaký nápad co s tím nebo případně ideu na lepší řešení? možná to beru uplně za špatný konec a bude lepší pro uživatele linuxu vytvořit jinou infrastrukturu k přihlašovani a spravovat je odděleně..
děkuji všem kteří nějak zareagují
ℲF
Debian GNU/Linux 7.0 3.2.0-3-686-pae i686 prostředí gnome 3 laptop asus M50VC-AS001C
Prosím jednoduše a výstižně s linuxem začínám

jmp

to zobrazení seznamu uživatelů bude tuším vlastnost toho session managera, který používáte (pokud jste někde psal, který to je, tak jsem to úspěšně přehlédl)

naposledy jsem toto řešil v ubuntu u lightdm v /etc/lightdm/lightdm.conf ...
(před změnou si také jistě děláte zálohy)

CitaceHiding the User List

If you don't want a user list to be displayed, you can enable this option. This should also be used with the enabling manual login (below) or logging in may be a challenge.

sudo /usr/lib/lightdm/lightdm-set-defaults --hide-users true

Or, you can manually add the following line in the [SeatDefaults] section:

greeter-hide-users=true

The default for this option is false, so if unset, you will get a user list in the greeter.